| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:production [2019/05/16 13:00] – Wolfgang Pempe | de:production [2020/04/14 10:33] – Silke Meyer |
|---|
| ======= Produktivbetrieb ======= | ======= Produktivbetrieb ======= |
| |
| Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich gewesen, können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden. | Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich, können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden. (Die Pfadangaben in den Beispielen beziehen sich auf eine Shibboleth-Installation unter Debian-GNU/Linux. Passen Sie die bitte an Ihre lokalen Gegebenheiten an.) |
| | |
| **NB:** Beachten Sie bitte, dass sich die Pfadangaben wie in den meisten Beispielen auf eine Shibboleth-Installation unter Debian-GNU/Linux beziehen. Passen Sie daher bitte ggf. die Pfade den jeweiligen lokalen Gegebenheiten an! | |
| |
| ===== 1. Metadatenverwaltung ===== | ===== 1. Metadatenverwaltung ===== |
| | Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/metadaten/| Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann. |
| |
| Mit Hilfe des Webfrontends wählen Sie in der Metadatenverwaltung die für Ihr System passende Föderation aus (Abschnitt "Föderationen"). Es wird geprüft, ob die für die Teilnahme in der DFN-AAI registrierten Metadaten den Anforderungen der gewählten Föderation genügen, insbesondere ob die verwendeten Zertifikate den Policies der DFN-AAI entsprechen. Weiterhin wird geprüft, ob bereits entsprechende Vertragsdaten hinterlegt sind. Bei positivem Befund wird die betreffende Instanz freigeschaltet. | Mit Hilfe des Webfrontends wählen Sie in der Metadatenverwaltung die für Ihr System passende Föderation aus (Abschnitt "Föderationen"). Es wird geprüft, ob die für die Teilnahme in der DFN-AAI registrierten Metadaten den Anforderungen der gewählten Föderation genügen, insbesondere ob die verwendeten Zertifikate den Policies der DFN-AAI entsprechen. Weiterhin wird geprüft, ob bereits entsprechende Vertragsdaten hinterlegt sind. Bei positivem Befund wird die betreffende Instanz freigeschaltet. |
| maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
| certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> | certificateFile="/etc/ssl/aai/dfn-aai.pem"/> |
| </MetadataProvider> | </MetadataProvider> |
| | |
| maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
| certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> | certificateFile="/etc/ssl/aai/dfn-aai.pem"/> |
| </MetadataProvider> | </MetadataProvider> |
| |
| <file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
| |
| <MetadataProvider type="XML" | <MetadataProvider type="XML" validate="true" |
| uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml" | url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml" |
| backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600"> |
| <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> |
| <MetadataFilter type="EntityRoleWhiteList"> | <MetadataFilter type="EntityRoleWhiteList"> |
| <RetainedRole>md:IDPSSODescriptor</RetainedRole> | <RetainedRole>md:IDPSSODescriptor</RetainedRole> |
| </MetadataProvider> | </MetadataProvider> |
| |
| <MetadataProvider type="XML" | <MetadataProvider type="XML" validate="true" |
| uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml" | url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml" |
| backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> |
| <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> |
| <MetadataFilter type="Blacklist" matcher="EntityAttributes"> | <MetadataFilter type="Blacklist" matcher="EntityAttributes"> |
| <saml:Attribute Name="http://macedir.org/entity-category" | <saml:Attribute Name="http://macedir.org/entity-category" |
| </saml:Attribute> | </saml:Attribute> |
| </MetadataFilter> | </MetadataFilter> |
| <MetadataFilter type="EntityRoleWhiteList"> | |
| <RetainedRole>md:IDPSSODescriptor</RetainedRole> | |
| </MetadataFilter> | |
| </MetadataProvider> | </MetadataProvider> |
| </file> | </file> |
| |
| ===== Discovery Service ===== | ===== Discovery Service ===== |
| Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[de:shibeds|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die Entity ID des IdP der Einrichtung referenziert werden (siehe auch unter [[de:metadata_local|Lokale Metadaten]]). | Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die Entity ID des IdP der Einrichtung referenziert werden (siehe auch unter [[de:metadata_local|Lokale Metadaten]]). |
| |
| **Lokaler SP** | **Lokaler SP** |